Abo
  • IT-Karriere:

Git und Co: Bösartige Code-Repositories können Client angreifen

Mittels spezieller SSH-URLs kann ein Angreifer Code in den Client-Tools von Quellcode-Verwaltungssystemen ausführen. Der Fehler betrifft praktisch alle verbreiteten Quellcode-Verwaltungssysteme wie Git, Subversion, Mercurial und CVS.

Artikel veröffentlicht am , Hanno Böck
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen.
Gefahr für Git und ähnliche Tools: Mittels manipulierter SSH-URLs kann ein bösartiger Server Code auf dem Client ausführen. (Bild: GIT Logo / Jason Long/CC-BY 3.0)

Ein Mitarbeiter der Firma Recurity Labs hat eine Sicherheitslücke gefunden, die in ähnlicher Weise alle gängigen Quellcode-Verwaltungssysteme betrifft. Ursprünglich entdeckt wurde der Bug in einer Erweiterung namens Git LFS, die dazu dient, große Dateien in Git-Repositories zu verwalten. Doch wie sich herausstellt, sind auch Git selbst sowie dessen Konkurrenten Subversion und Mercurial betroffen. Auch das uralte CVS hat einen ähnlichen Bug.

Stellenmarkt
  1. UmweltBank AG, Nürnberg
  2. Eppendorf AG, Jülich

Repositories, auf die über SSH zugegriffen wird, können in Git mit einer URL der Form ssh:// referenziert werden. Wenn man in diese URL Kommandozeilenoptionen mit übergibt, werden diese ungefiltert an SSH weitergegeben. Eine solche URL könnte dann etwa so aussehen: ssh://-oProxyCommand=gnome-calculator

ProxyCommand in URL erlaubt Codeausführung

In diesem Fall wird die Option ProxyCommand von OpenSSH gesetzt. Diese Option ist eigentlich dazu gedacht, die Ausgabe von Befehlen über eine SSH-Verbindung zu tunneln. Sie kann hier aber mißbraucht werden, um Code auszuführen.

Relevant ist dieses Szenario, wenn ein Nutzer Code von einem nicht vertrauenswürdigen Server auscheckt, der den Angriff durchführt. Im Fall von Git kann der Server etwa in das Repository ein Git-Submodul mit einer solchen bösartigen URL einfügen und damit Code auf dem Client ausführen.

Git, Subversion und Mercurial haben koordiniert neue Versionen veröffentlicht, die die entsprechenden Lücken beheben. Diese haben die IDs CVE-2017-1000117 (Git), CVE-2017-9800 (Subversion) und CVE-2017-1000116 (Mercurial).

Auf der Mailingliste oss-security wies ein Nutzer darauf hin, dass CVS von dem Problem ebenfalls betroffen ist. CVS war lange Zeit ein sehr beliebtes Quellcode-Verwaltungstool, inzwischen wird es jedoch nur noch von wenigen Projekten genutzt. Die letzte Version wurde 2005 veröffentlicht. Mit einem offiziellen Fix ist also eher nicht zu rechnen.



Anzeige
Spiele-Angebote
  1. 44,99€
  2. 4,99€
  3. 149,99€ (Release noch nicht bekannt)
  4. 4,99€

RandomCitizen 14. Aug 2017

Das kenne ich gar nicht. Wo kann man -- eingeben und was macht das?


Folgen Sie uns
       


Sony Xperia 1 - Test

Das Xperia 1 eignet sich dank seines breiten OLED-Displays hervorragend zum Filmeschauen. Im Test zeigt Sonys neues Smartphone aber noch weitere Stärken.

Sony Xperia 1 - Test Video aufrufen
SEO: Der Google-Algorithmus benachteiligt Frauen
SEO
Der Google-Algorithmus benachteiligt Frauen

Websites von Frauen werden auf Google schlechter gerankt als die von Männern - und die deutsche Sprache ist schuld. Was lässt sich dagegen tun?
Von Kathi Grelck

  1. Google LED von Nest-Kameras lässt sich nicht mehr ausschalten
  2. FIDO Google führt Logins ohne Passwort ein
  3. Nachhaltigkeit 2022 sollen Google-Geräte Recycling-Kunststoff enthalten

Mobile-Games-Auslese: Verdrehte Räume und verrückte Zombies für unterwegs
Mobile-Games-Auslese
Verdrehte Räume und verrückte Zombies für unterwegs

Ein zauberhaftes Denksportspiel wie Rooms, ansteckende Zombies in Infectonator 3 Apocalypse und Sky - Children of the Light, das neue Werk der Journey-Entwickler: Für die Urlaubszeit hat Golem.de besonders schöne und vielfälige Mobile Games gefunden!
Eine Rezension von Rainer Sigl

  1. Dr. Mario World im Test Spielspaß für Privatpatienten
  2. Mobile-Games-Auslese Ein Wunderjunge und dreimal kostenloser Mobilspaß
  3. Mobile-Games-Auslese Magischer Dieb trifft mogelnden Doktor

WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. ACM City Miniauto soll als Kleintransporter und Mietwagen Furore machen
  2. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  3. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr

    •  /